Convergence, ein DeFi Protokoll, wurde Opfer eines Hacks, bei dem die Angreifer seinen nativen Token im Wert von 210.000 US-Dollar und nicht beanspruchte Einsatzprämien im Wert von 2.000 US-Dollar erbeuteten. Convergence verschickte einen Post , in dem er seine Benutzer warnte, nicht mit dem Protokoll zu interagieren, nachdem die Nachricht über den Exploit bekannt wurde.
Die Sicherheitsplattform PeckShield teilte die Details des Hacks in einem ihrer X-Beiträge mit. Dem Beitrag zufolge hat der Hacker 58 Millionen CVG-Token geprägt. Nach dem Hack wurden die Token in 60 WETH und 15,9.000 crvFRAX umgewandelt.
Konvergenz veröffentlicht Post-Mortem-Veröffentlichungen
Es scheint, dass @Convergence_fi gerade ausgenutzt wurde (mit einem Verlust von ca. 210.000 US-Dollar), um 58 Millionen US-Dollar CVG (58.718.395,05681812) zu prägen, die in 60 WETH und 15,9.000 crvFRAX getauscht wurden.
Der Fehler ist Teil des CvxRewardDistributor-trac, der die (nicht vertrauenswürdigen) Benutzereingaben zur Inanspruchnahme von Belohnungen nicht validiert.
Hier… pic.twitter.com/ EOS 7q4reUC
– PeckShield Inc. (@peckshield) 1. August 2024
Die Obduktion ergab, dass der Hauptgrund für den Exploit eine mangelnde Validierung der Eingaben des Benutzers in der Funktion „claimMultipleStaking“ des Belohnungsverteilungsvertrags trac . Dem Bericht zufolge hat der Hacker den böswilligen Vertrag trac die Validierung des Einsatzvertrags trac . Dies ermöglichte es dem Hacker, alle Token zu prägen, die für das Abstecken von Emissionen reserviert waren.
Nach dem Hack hat der Hacker alle neu geprägten CVG-Token in Liquiditätspools geworfen.
Convergence macht „ Post -Audit-Änderung“ für den Exploit
Convergence Finance erwähnte in seinem Obduktionsbericht, dass das Protokoll viermal von verschiedenen Unternehmen geprüft wurde. Allerdings hatte das Protokoll kürzlich den kompromittierten Teil des Codes nach der Prüfung geändert.
Dem Team zufolge „führte die Änderung (zuerst die Gasoptimierung) dazu, dass wir die Codezeile entfernten, die die Eingaben für die Funktion überprüfte.“ Wir entschuldigen uns bei unserer Community und unseren Investoren und übernehmen die volle Verantwortung für das, was passiert ist.“
Das Team versichert jedoch, dass alle Benutzergelder sicher sind. Als zusätzliche Vorsichtsmaßnahme wurden die Anleger außerdem aufgefordert, ihre eingesetzten Vermögenswerte abzuziehen.
Nach dem Hack wurde auch dertracausgenutzt. Daher können Staker ihre Belohnungen jetzt nicht einfordern. Convergence gab an, an einer Lösung zu arbeiten und das Ergebnis bald mitzuteilen.
Krypto-Hacks nehmen in letzter Zeit zu. In der Branche wurden 16 Krypto-Hacks gemeldet, die im Juli zu einem Verlust von über 266 Millionen US-Dollar .
Key Differenzdraht hilft Crypto-Marken, die Schlagzeilen schnell durchzubrechen und zu dominieren